Plánování zabezpečení v Správce konfigurace

Platí pro: Správce konfigurace (aktuální větev)

Tento článek popisuje následující koncepty, které byste měli zvážit při plánování zabezpečení s Správce konfigurace implementace:

  • Certifikáty (podepsané svým držitelem a infrastruktura veřejných klíčů)

  • Důvěryhodný kořenový klíč

  • Podepisování a šifrování

  • Správa založená na rolích

  • Azure Active Directory

  • Ověřování poskytovatele SMS

Než začnete, ujistěte se, že znáte základy zabezpečení v Správce konfigurace.

Certifikáty

Správce konfigurace používá kombinaci digitálních certifikátů infrastruktury veřejných klíčů a podepsaných svým držitelem. Certifikáty PKI používejte, kdykoli je to možné. Některé scénáře vyžadují certifikáty PKI. Pokud nejsou certifikáty PKI dostupné, web automaticky vygeneruje certifikáty podepsané svým držitelem. Některé scénáře vždycky používají certifikáty podepsané svým držitelem.

Další informace najdete v tématu Plánování certifikátů.

Důvěryhodný kořenový klíč

Tento Správce konfigurace kořenový klíč poskytuje mechanismus, aby klienti Správce konfigurace, aby ověřili, že systémy webu patří do jejich hierarchie. Každý server webu vygeneruje klíč výměny webu pro komunikaci s jinými weby. Klíč výměny webu z webu nejvyšší úrovně v hierarchii se nazývá důvěryhodný kořenový klíč.

Funkce důvěryhodného kořenového klíče v Správce konfigurace se podobá kořenovému certifikátu v infrastruktuře veřejných klíčů. Všechno podepsané privátním klíčem důvěryhodného kořenového klíče je v hierarchii důvěryhodné. Klienti ukládají kopii důvěryhodného kořenového klíče webu do oboru root\ccm\locationservices názvů SLUŽBY WMI.

Web například vydá certifikát do bodu správy, který podepíše pomocí soukromého klíče důvěryhodného kořenového klíče. Web sdílí s klienty veřejný klíč důvěryhodného kořenového klíče. Klienti pak mohou rozlišovat mezi body správy, které jsou v jejich hierarchii, a body správy, které nejsou v jejich hierarchii.

Klienti automaticky kopírují důvěryhodný kořenový klíč pomocí dvou mechanismů:

  • Rozšíření schématu služby Active Directory pro Správce konfigurace a publikování webu do služba Active Directory Domain Services. Klienti pak načítá tyto informace o webu ze serveru globálního katalogu. Další informace najdete v tématu Příprava služby Active Directory pro publikování webu.

  • Při instalaci klientů pomocí metody nabízené instalace klienta. Další informace najdete v tématu Nabízená instalace klienta.

Pokud klienti nemůže získat důvěryhodný kořenový klíč pomocí jednoho z těchto mechanismů, důvěřují důvěryhodnému kořenovému klíči, který poskytuje první bod správy, se který komunikuje. V tomto scénáři může být klient špatně přesměrován do místa správy útočníka, kde by získal zásady z bodu správy nepoctiví. Tato akce vyžaduje sofistikovaného útočníka. Tento útok je omezený na krátkou dobu, než klient načte důvěryhodný kořenový klíč z platného bodu správy. Pokud chcete omezit toto riziko, že útočník nasměruje klienty na bod správy nepoctiví, před zřízením klientů důvěryhodným kořenovým klíčem.

Další informace a postupy pro správu důvěryhodného kořenového klíče najdete v tématu Konfigurace zabezpečení.

Podepisování a šifrování

Při použití certifikátů PKI pro všechny komunikace klientů nemusíte plánovat podepisování a šifrování, abyste pomohli zabezpečit komunikaci s klientskými daty. Pokud nastavíte všechny systémy webu, které s provozem služby IIS povolují připojení klientů HTTP, rozhodněte se, jak zabezpečit komunikaci klienta pro web.

Důležité

Od verze Správce konfigurace 2103 jsou weby, které umožňují komunikaci klienta HTTP, zastaralé. Nakonfigurujte web pro https nebo rozšířený protokol HTTP. Další informace najdete v článku Povolení webu jenom pro https nebo vylepšený protokol HTTP.

Pokud chcete chránit data odesílaná klienty do bodů správy, můžete požadovat, aby klienti data podepsali. K podepisování můžete také vyžadovat algoritmus SHA-256. Tato konfigurace je bezpečnější, ale nevyžaduje SHA-256, pokud ji nepodporují všichni klienti. Tento algoritmus nativně podporuje mnoho operačních systémů, ale starší operační systémy můžou vyžadovat aktualizaci nebo opravu hotfix.

Při podepisování pomáhá chránit data před neoprávněnou manipulací, šifrování pomáhá chránit data před zpřístupněním informací. Můžete povolit šifrování pro data inventáře a zprávy o stavu, které klienti odesílat do bodů správy na webu. Abyste tuto možnost podporovali, nemusíte na klienty instalovat žádné aktualizace. Klienti a body správy vyžadují větší využití procesoru pro šifrování a dešifrování.

Poznámka

K šifrování dat klient používá veřejný klíč šifrovacího certifikátu bodu správy. Odpovídající privátní klíč má jenom bod správy, takže data může dešifrovat jenom tento bod.

Klient tento certifikát zahodí podpisový certifikát bodu správy, který se spustí pomocí důvěryhodného kořenového klíče webu. Ujistěte se, že v klientech zabezpečíte důvěryhodný kořenový klíč. Další informace najdete v tématu Důvěryhodný kořenový klíč.

Další informace o konfiguraci nastavení pro podepisování a šifrování najdete v tématu Konfigurace podepisování a šifrování.

Další informace o kryptografických algoritmech používaných k podepisování a šifrování najdete v článku Technické informace o kryptografických ovládacích prvcích.

Správa založená na rolích

S Správce konfigurace můžete použít správu založenou na rolích k zabezpečení přístupu, který uživatelé pro správu potřebují Správce konfigurace. Taky zabezpečíte přístup k objektům, které spravujete, jako jsou kolekce, nasazení a weby.

Kombinací rolí zabezpečení, oborů zabezpečení a kolekcí se oddělením přiřazení pro správu, která splňují požadavky vaší organizace. Společně definují obor správy uživatele. Tento obor správy řídí objekty, které uživatel pro správu Správce konfigurace konzole, a řídí oprávnění, která má uživatel u těchto objektů.

Další informace najdete v článku Základy správy založené na rolích.

Azure Active Directory

Správce konfigurace se integruje s Azure Active Directory (Azure AD), aby web a klienti používejte moderní ověřování.

Další informace o Službě Azure AD najdete v Azure Active Directory dokumentaci.

Připojení webu pomocí Azure AD podporuje následující Správce konfigurace scénářů:

Scénáře klientů

Scénáře serveru

Ověřování poskytovatele SMS

Můžete zadat minimální úroveň ověřování pro správce pro přístup k Správce konfigurace webům. Tato funkce vynucuje správcům, aby se Windows přihlášení s požadovanou úrovní, než budou mít přístup k Správce konfigurace. Platí pro všechny součásti, které mají přístup k poskytovateli SMS. Například konzola Správce konfigurace, metody sady SDK a Windows PowerShell rutin.

Správce konfigurace podporuje následující úrovně ověřování:

  • Windows ověřování: Vyžadovat ověřování pomocí přihlašovacích údajů domény služby Active Directory. Toto nastavení je předchozí chování a aktuální výchozí nastavení.

  • Ověřování certifikátů: Vyžadovat ověření platným certifikátem vydaným důvěryhodnou certifikační autoritou PKI. Tento certifikát v aplikaci Správce konfigurace. Správce konfigurace vyžaduje, aby se správce přihlásil k Windows pki.

  • Windows Hello ověřování pro firmy: Vyžadovat ověřování se silným dvojfaktorovým ověřováním, které je spojené se zařízením a používá biometrii nebo PIN kód. Další informace najdete v tématu Windows Hello pro firmy.

    Důležité

    Když vyberete toto nastavení, služba Poskytovatele a správa SMS vyžaduje, aby ověřovací token uživatele obsahoval deklaraci vícefaktorového ověřování (MFA) od Windows Hello pro firmy. Jinými slovy, uživatel konzoly, sady SDK, PowerShellu nebo služby pro správu se musí ověřit, Windows pomocí pin kódu Windows Hello pro firmy nebo biometrického kódu. V opačném případě web odmítne akci uživatele.

    Toto chování je pro Windows Hello pro firmy, ne pro Windows Hello.

Další informace o konfiguraci tohoto nastavení najdete v tématu Konfigurace ověřování poskytovatele sms.

Další kroky